Überwachen von
Symantec Endpoint Protection
-Roaming-Clients über die Cloud-Konsole

Symantec Endpoint Protection
-Roaming-Clients sind Clients, die gelegentlich eine Verbindung zum Management-Server herstellen. Roaming-Clients greifen an verschiedenen Orten (z. B. Flughäfen, Hotels oder andere Firmen) auf das Internet zu, wo ein höheres Risiko besteht.
Symantec Endpoint Protection Manager
bietet Schutz für solche Clientcomputer mithilfe der Funktion "Ortserkennung" im und außerhalb des Netzwerks.
In Version 14.1 und niedriger senden Roaming-Clients kritische Ereignisse nur dann an den Management-Server, wenn sie verbunden sind. Ab Version 14.2 senden Roaming-Clients automatisch kritische Ereignisse an die Cloud-Konsole, wenn die Clients keine Verbindung zum Management-Server herstellen können. Nachdem der Roaming-Client die Verbindung zum Management-Server wiederhergestellt hat, senden die Clients neue kritische Ereignisse an den Management-Server. Der Client gilt auch nicht mehr als Roaming-Client angesehen.
Anhand der Liste der kritischen Ereignisse können Sie die Sicherheitsrichtlinien auf dem
Symantec Endpoint Protection Manager
-Computer verbessern. Beispiel: Auf dem Client von Mitarbeiter 1 treten mehr Denial of Service-Angriffe auf, wenn er sich in einem bestimmten Hotel befindet. Sie können dann einen Standort für dieses Hotel erstellen und Denial-of-Service-Erkennungen in der Firewall-Richtlinie aktivieren.
Suchen von Roaming-Clients und kritischen Ereignissen
Prüfen Sie Folgendes, um herauszufinden, welche Clients Roaming nutzen:
  • Ob das Gerät direkt mit der Cloud-Konsole und nicht dem Management-Server verbunden ist.
  • Den in der Ortserkennungsrichtlinie von
    Symantec Endpoint Protection Manager
    definierte Standort
  • Die externe IP-Adresse des Client
  1. So suchen Sie Roaming-Clients und kritischen Ereignisse
  2. Klicken Sie in der Cloud-Konsole auf "
    Warnmeldungen und Ereignisse
    ".
  3. Klicken Sie auf der Registerkarte "
    Sicherheitsereignisse
    " unter "
    Verbindungstyp
    " auf "
    Cloud
    ", um die Ereignisse anzuzeigen, die der Client an die Cloud-Konsole sendet.
    Um Ereignisse anzuzeigen, die der Management-Server sendet, klicken Sie auf "
    Symantec Endpoint Protection Manager
    ".
  4. Klicken Sie unter "
    Schweregrad
    " auf "
    Kritisch
    ".
    Die Cloud-Konsole filtert und zeigt nur kritische Sicherheitsereignisse an, die von Roaming-Clients erkannt wurden.
  5. Um den Standort und die externe IP-Adresse zu suchen, wählen Sie das Gerät aus und suchen Sie den Eintrag "Gerätestandort".
Welche kritischen Ereignisse werden in der Cloud-Konsole angezeigt?
Der Roaming-Client lädt die folgenden Sicherheitsereignisse in die Cloud-Konsole hoch:
  • Port-Scan-Ereignisse
  • MAC-Spoofing
  • Denial-of-Service
  • Canary
  • IPS
  • Täuschung
  • Memory Exploit Mitigation
  • Hostintegrität-Richtlinieneinhaltung
Der Roaming-Client lädt die folgenden Sicherheitsereignisse in die Cloud-Konsole hoch:
  • Antivirus
  • SONAR